Chính sách bảo vệ dữ liệu cá nhân là gì?

Trong quá trình tổ chức hoạt động của mình, nhiều doanh nghiệp đã tiến hành thu thập, xử lý dữ liệu người dùng. Việc thu thập, xử lý này đòi hỏi phải tuân theo quy định của pháp luật và được sự đồng ý của người dùng, điều này được thể hiện qua chính sách bảo vệ dữ liệu cá nhân. Trong thực tế, nhiều khách hàng chưa được biết và hiểu rõ về khái niệm này. Để giải đáp thắc mắc của quý khách hàng, Công ty Luật Việt An xin đưa ra bài viết chính sách bảo vệ dữ liệu cá nhân là gì? sau đây.

Căn cứ pháp luật

• Nghị định 13/2023/NĐ-CP ngày 17 tháng 04 năm 2023 của Chính phủ về bảo vệ dữ liệu cá nhân.

Dữ liệu cá nhân là gì?

Dữ liệu cá nhân được hiểu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.

Dữ liệu cá nhân bao gồm:

• Dữ liệu cá nhân cơ bản (họ và tên, giới tính, ngày tháng năm sinh, quốc tịch, nơi sinh, địa chỉ, hình ảnh, số điện thoại, số CCCD, mã số thuế, số bảo hiểm xã hội, số thẻ bảo hiểm y tế,… và các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc dữ liệu cá nhân nhạy cảm);
• Dữ liệu cá nhân nhạy cảm (Quan điểm ​​chính trị, quan điểm tôn giáo, tình trạng sức khỏe và đời tư, nguồn gốc chủng tộc, nguồn gốc dân tộc; đặc điểm di truyền được thừa hưởng hoặc có được đời sống tình dục, xu hướng tình dục của cá nhân; Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết,…)

Chính sách bảo vệ dữ liệu cá nhân là gì?

Chính sách

Chính sách là chương trình hành động do các nhà lãnh đạo hay các nhà quản lý đề ra để giải quyết một vấn đề nào đó thuộc phạm vi thẩm quyền của mình. Chính sách thường được thể chế hóa trong các quyết định, hệ thống các quy chuẩn hành vi và những quy định khác.

Bảo vệ dữ liệu cá nhân

Để hiểu khái niệm chính sách bảo vệ dữ liệu cá nhân, trước hết cần hiểu thế nào là bảo vệ dữ liệu cá nhân.

Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật.

Việc bảo vệ dữ liệu cá nhân là có ý nghĩa hết sức quan trọng bởi nếu dữ liệu bị đánh cắp có thể gây ra những tổn thất tài chính nghiêm trọng, nguy cơ bị tống tiền, lừa đảo, chiếm đoạt tài sản, bôi nhọ, xâm phạm danh dự, nhân phẩm, xâm hại tình dục,… gây hậu quả cả về vật chất và tinh thần, ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của các cơ quan, tổ chức, doanh nghiệp và mỗi cá nhân.

Chính sách bảo vệ dữ liệu cá nhân

Từ những phân tích trên về chính sách và về bảo vệ dữ liệu cá nhân, có thể rút ra khái niệm về chính sách bảo vệ dữ liệu cá nhân, theo đó, đây là chương trình hành động, hệ thống các quy định mô tả các hoạt động liên quan đến việc xử lý dữ liệu cá nhân của khách hàng nhằm bảo vệ dữ liệu cá nhân của họ.

Trong phạm vi giới hạn, bài viết trình bày các vấn đề pháp lý xoay quan chính sách bảo vệ dữ liệu cá nhân của doanh nghiệp.

Đặc điểm của chính sách bảo vệ dữ liệu cá nhân

Với khái niệm trên, chính sách bảo vệ dữ liệu cá nhân có những đặc điểm nổi bật như sau:

• Chủ thể ban hành: doanh nghiệp, tổ chức tiến hành thu thập, xử lý dữ liệu cá nhân người dùng phải có chính sách bảo vệ dữ liệu cá nhân phù hợp với hoạt động của mình.
• Mục đích: bảo vệ thông tin cá nhân người dùng tránh để bị đáp cắp, gây hậu quả vật chất và tinh thần làm ảnh hưởng đến quyền và lợi ích hợp pháp của các bên liên quan.
• Nội dung của chính sách: phải tuân thủ quy định của pháp luật, không trái với đạo đức xã hội.
• Người dùng phải đảm bảo đã biết, hiểu rõ và đồng ý bản Chính sách bảo vệ dữ liệu cá nhân.

Nghĩa vụ bảo vệ dữ liệu cá nhân

Nghĩa vụ của bên thứ ba

Bên kiểm soát Dữ liệu cá nhân (Controller), Bên Xử lý Dữ liệu cá nhân (Processor), Bên kiểm soát và xử lý Dữ liệu cá nhân (Joint-Controller) và Bên thứ ba là các chủ thể có nghĩa vụ chính tham gia vào mạng lưới dịch chuyển thông tin dữ liệu cá nhân của chủ thể dữ liệu. Các quy định của Nghị định 13/2023/NĐ-CP được xây dựng dựa trên Chính sách GDPR của EU với những quy định nghĩa vụ một cách cơ bản toàn diện.

Về nguyên tắc, việc xử lý dữ liệu cá nhân của mỗi khách hàng chỉ được thực hiện khi có sự đồng ý của khách hàng, trừ trường hợp pháp luật có quy định khác. Khi có hành vi vi phạm, các chủ thể này phải có nghĩa vụ thông báo chậm nhất 72 giờ sau đó mà không cần tính đến mức độ vi phạm như thế nào.

Doanh nghiệp không sử dụng, chuyển giao, cung cấp hay chia sẻ cho bên thứ ba nào về dữ liệu cá nhân của khách hàng khi không có sự đồng ý của họ, trừ trường hợp pháp luật có quy định khác.

Cam kết sẽ chỉ lưu trữ dữ liệu cá nhân của khách hàng trong trường hợp liên quan đến các mục đích được nêu trong Chính sách bảo vệ dữ liệu này. Doanh nghiệp cũng có thể cần lưu trữ dữ liệu cá nhân của người dùng trong một giai đoạn thời gian, chẳng hạn như khi pháp luật hiện hành yêu cầu.

Quyền và nghĩa vụ của khách hàng – chủ thể dữ liệu

Khách hàng có quyền được biết về hoạt động xử lý dữ liệu cá nhân của mình, quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác, quyền rút lại sự đồng ý của mình, quyền khiếu nại, tố cáo khởi kiện theo quy định của pháp luật, quyền yêu cầu bồi thường thiệt hại, quyền tự bảo vệ, các quyền khác theo quy định của pháp luật;

Cùng với các quyền, khách hàng cũng có nghĩa vụ tuân thủ các quy định của pháp luật, quy định, hướng dẫn của doanh nghiệp liên quan đến xử lý dữ liệu cá nhân của người dùng, cung cấp đầy đủ, trung thực, chính xác dữ liệu cá nhân, các thông tin khác theo yêu cầu, tự bảo vệ dữ liệu cá nhân của mình, chủ động áp dụng các biện pháp nhằm bảo vệ Dữ liệu cá nhân của mình, tự chịu trách nhiệm đối với những thông tin, dữ liệu, chấp thuận mà mình tạo lập, cung cấp, tôn trọng dữ liệu cá nhân của người khác, các nghĩa vụ khác theo quy định của pháp luật.

Các nội dung cần có của chính sách bảo vệ dữ liệu cá nhân

Các doanh nghiệp có các chính sách khác nhau để bảo vệ dữ liệu cá nhân khách hàng của mình. Tuy nhiên, về cơ bản chính sách đều quy định một số nội dung về:

• Đối tượng và phạm vi áp dụng: Chính sách này điều chỉnh cách thức mà doanh nghiệp thu thập và xử lý, lưu trữ dữ liệu cá nhân của Người dùng sử dụng hoặc tương tác với các sản phẩm, trang web, ứng dụng hoặc dịch vụ của doanh nghiệp; Chính sách bảo mật dữ liệu này được áp dụng cho người dùng là cá nhân.
• Giải thích từ ngữ: Người dùng, Dữ liệu cá nhân, các loại dữ liệu cá nhân (dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm), Bảo vệ dữ liệu cá nhân; Xử lý dữ liệu cá nhân; Bên thứ ba.
• Mục đích bảo vệ dữ liệu cá nhân;
• Quyền và nghĩa vụ của khách hàng đối với dữ liệu cá nhân:
• Xử lý dữ liệu cá nhân, trách nhiệm của doanh nghiệp:
• Bảo mật dữ liệu cá nhân
• Lưu trữ dữ liệu cá nhân:
• Các điều khoản chung

Một số câu hỏi có liên quan đến soạn thảo chính sách bảo vệ dữ liệu cá nhân

Chính sách bảo vệ dữ liệu cá nhân được soạn thảo dựa trên nguyên tắc nào?

Để đảm bảo việc soạn thảo chính sách cá nhân được thực hiện, người soạn thảo cần tuân thủ các nguyên tắc sau đây:

• Người dùng phải đảm bảo đã biết, hiểu rõ và đồng ý bản Chính sách này.
• Các nội dung của chính sách phải tuân thủ theo quy định của pháp luật, không trái với đạo đức xã hội.

Hoạt động xử lý dữ liệu cá nhân là gì?

Theo khoản 7 Điều 2 của Nghị định 13/2023/NĐ-CP, xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như:

• Thu thập, ghi, xác nhận
• Sử dụng: phân tích, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép.
• Lưu trữ, hủy bỏ, thu hồi, xóa, hủy
• Chia sẻ, truyền đưa, cung cấp, chuyển giao
• Các hành động khác có liên quan.

Chính sách bảo vệ dữ liệu cá nhân là cần có quan trọng trong quá trình hoạt động của doanh nghiệp, quý khách hàng có nhu cầu tư vấn về soạn thảo chính sách bảo vệ dữ liệu cá nhân, xin vui lòng liên hệ Công ty luật Việt An để được hỗ trợ tốt nhất.